Эта статья написана по просьбе одного из читателей блога. И должен сказать - тема весьма интересная.
В наше время, всё более остро встаёт вопрос о защите передаваемого трафика в сети Интернет. Очень многие могут позариться на ваши данные - от злоумышленников, который всеми силами будут хотеть заполучить ваши пароли к различным сервисам, до спецслужб, которые хотят знать всё о каждом вашем шаге. И на данное время, существует большое количество "средств самообороны" в Интернете. Об одном таком простом, но весьма эффективном средстве, пойдёт речь в этой статье - DNScrypt
.
Существует такой замечательный ресурс, под названием OpenDNS , который предоставляет свои публичные DNS-сервера . OpenDNS предлагает DNS-решения для пользователей и предприятий, как альтернативу использованию DNS-сервера, предлагаемого их провайдером. Размещение серверов компании в стратегически важных районах и использование большого кэша доменных имен приводит к тому, что OpenDNS, как правило, выполняет запросы гораздо быстрее, тем самым увеличивая скорость открытия страницы. Результаты DNS-запросов некоторое время кэшируются в операционной системе и/или приложениях, так что эта скорость может быть заметна не при каждом запросе, а только при тех запросах, которые не кэшированы.
Так как трафик между DNS-сервером и вашим компьютером не шифруется , это создаёт серьёзную опасность перехвата трафика. Шифрование DNS-трафика позволит защитить клиента от атак "человек посередине" , при которых злоумышленник вклинивается в канал связи и притворяется DNS-сервером. Кроме того, шифрование предотвращает наблюдение за трафиком и блокирует активность злоумышленников, связанную с подбором идентификаторов пакетов или отправкой фиктивных DNS-ответов. Проще говоря: шифрование DNS предотвратит фишинговые атаки, когда вместо желаемой страницы, открывается её вредоносная копия, где вы вводите свои данные. Со всеми вытекающими. Плюс ко всему, провайдеру станет гораздо тяжелее узнать, какие сайты вы посещали (ибо в логах не будет информации о запросах на разрешение имён). Чтобы всё это организовать, проект OpenDNS выпустил замечательную утилиту с открытым исходным кодом - DNScrypt .
Эта утилита будет шифровать весь передаваемый трафик между вашим компьютером и OpenDNS-серверами. Если ваш провайдер блокирует какой-нибудь сайт по его доменному имени - теперь этот сайт заработает! Ещё один плюс. Данная утилита доступна на великом множестве систем. Опишу установку и настройку на примере Debian и Ubuntu/Linux Mint .
В Ubuntu 14.04 и Debian 8 , этой утилиты нет. Варианта 2: собирать самому или использовать сторонние репозитории. В случае Ubuntu, это будет PPA-репозиторий:
sudo add-apt-repository ppa:xuzhen666/dnscrypt
sudo apt-get update
sudo apt-get install dnscrypt-proxy
В случае Дэбиана, достаточно скачать пакет dnscrypt-proxy из репозитория тестового выпуска . И установить с помощью GDebi , либо командой sudo dpkg -i dnscrypt-proxy_1.6.0-2_amd64.deb .
Для самостоятельной сборки:
wget https://raw.github.com/simonclausen/dnscrypt-autoinstall/master/dnscrypt-autoinstall.sh && chmod +x dnscrypt-autoinstall.sh && ./dnscrypt-autoinstall.sh
В процессе установки будет предложено выбрать DNS-сервер. Выбирайте OpenDNS.
Дополнительной настройки не требуется, в пакете есть всё необходимое. Всё что вам нужно - слега перенастроить подключение к сети. Открываем настройку сетевых соединений, выбираем своё, идём на вкладку IPv4, меняем Авто (Auto) на Автоматически (только адреса) (Auto (Address only) и указываем DNS-адрес 127.0.2.1
Перезагружаемся, подключаемся и переходим по
,
С тех пор, как был развеян миф об анонимности в интернете, вопрос конфиденциальности пользователя пополнил список самых злободневных. Отслеживать вашу деятельность в сети могут не только поисковые системы и посещаемые сайты, но также и ваши собственные поставщики интернет-услуг. Технически это не так уже и сложно, если DNS
выдается вам провайдером, а так чаще всего бывает, весь проходящий по DNS
трафик может быть им отслежен, тем более, что DNS
-запросы отправляются по незашифрованному соединению.
Понятно, что подмена перехваченных пакетов не составит особого труда даже при использовании вами VPN -сервисов.
Закрыть дыру можно только путем шифрования DNS -трафика, но для этого вам понадобится специальное программное обеспечение, поскольку ни одна из операционных систем не поддерживает шифрование DNS из коробки. Наиболее простым инструментом для шифрования DNS -трафика является - небольшая бесплатная утилита, выгодно отличающаяся тем, что не нуждается в дополнительных настройках, а значит может использоваться новичками. Есть консольный инструмент - DNSCrypt Proxy , но с ним нужно возиться - выполнять серию команд в PowerShell , изменять адрес DNS вручную и так далее. У кого есть время и желание, пожалуйста, можете ознакомиться с ним на страничке github.com/jedisct1/dnscrypt-proxy .
Мы же предлагаем использовать более простую и удобную десктопную версию DNS -шифровальщика. Скачайте с сайта разработчика simplednscrypt.org соответствующую вашей разрядности ОС версию программы и установите.
Укомплектована легким интуитивно понятным интерфейсом да к тому же на русском языке, так что вы без труда разберетесь что к чему. Основные настройки выполняются в разделе «Меню» . Чтобы начать пользоваться программой, сразу после установки нажмите кнопку «Применить» , а затем выберите внизу вашу сетевую карту, она должна быть отмечена галочкой, как показано на скриншоте. Переключатель «Служба DNSCrypt» должен быть активным.
Проверить, всё ли работает нетрудно. Выполните в окошке Run команду ncpa.cpl , откройте свойства вашего подключения, выберите в списке IP версии 4 (TCPIPv4) и откроете его свойства. Радиокнопка «Использовать следующие адреса DNS-серверов» должна быть активной, а в поле должен быть указан предпочитаемый DNS -сервер. У нас это 127.0.0.1 , у вас адрес может быть другим.
По умолчанию программа автоматически выбирает самый быстрый сервер, но вы можете изменить предпочтения, выбрав его самостоятельно в разделе .
Параметры раздела можно не менять, если вы не используете протокол IPv4 . В общих настройках можно включить дополнительные вкладки «Черный список доменов» , «Журнал блокировки доменов» , но это опять, если вы собираетесь работать с предлагаемыми в них функциями, в частности, составлять «черные» списки доменов.
Есть еще вкладки и «Черный список адресов» , но у нас они почему-то неактивны.
DNSCrypt шифрует DNS , а что насчет приватности вообще, может ли программа сделать работу в сети анонимной? Нет, задача DNSCrypt заключается в защите от подмены DNS -серверов злоумышленниками (при условии, что вы не редактировали файл HOSTS) , на анонимность она никак не влияет, но может использоваться в качестве вспомогательного инструмента приватности в случае подключения к интернету через VPN .
В Windows 10 можно очень легко добавлять и удалять подключения по VPN, но при этом нет возможности экспортировать уже настроенные подключения. Зачем это может понадобиться? Сама по себе процедура настройки VPN в Windows ...
Зашифровать DNS трафик и уберечь от третьей стороны, поможет DNSCrypt.
- Настройка DNS сервера это хорошо но еще лучше зашифровать трафик между сервером и клиентом то есть вами. Я уже писал в других статьях что такое DNS и делал обзоры на самые продвинутые сервис DNS серверов. Отличие простых DNS от DNSCrypt тем что весь передаваемый трафик от вашего компьютерного устройства и до сервера DNS не шифруется. Единственное что дают простые Сервисы DNS это блокировка подозрительных сайтов. А трафик как писал выше который передается обратно к вашему компьютеру и отсылается запрос с вашего компьютера на DNS сервер проходит в открытом виде.
- Эти DNS Сервисы прекрасно защищают ваше компьютерное устройство и предлагают выбор фильтрации сайтов. Но передаваемый трафик от сервера DNS к Вашему компьютерному устройству не шифруется, как писал выше. Более о настройки различных компьютерных устройств на вашей стороне как клиент вы можете узнать из самой первой статьи, которые я перечислял выше. Также там есть обзор как выбрать подходящий сервер DNS. Возможно о DNS вам более углубленно поведает. Так как в этой статье мы говорим о DNS но только углубление делаем на шифрование самого соединения от сервера DnS и вашего компьютера.
- Зашифровать само DNS соединение можно установив и настроив на вашем компьютерном устройстве а также посетить официальный сайт. Скачав последнюю версию DNSCrypt для вашего компьютерного устройства с ос., Windows, все ссылки выложу в конце статьи. Распаковав архив на системный диск C:/ папку можно назвать на ваше усмотрение или оставить по умолчанию. Открываем командную строку под именем администратора, сделать это можно если не знаете прочитав статью . Далее в командной строке идем в папку которую распаковали на диск C:/. Название папки в пути отличается как вы ее назвали, нажимаете Enter и если все правильно получиться ответ, картинка ниже:
- Далее идете в папку куда распаковали, открывая папку в обычном проводнике и находите файл dnscrypt-resolvers.csv в нем выбираете сервер DNS к которому будем подключаться. На самом первом месте стоит сервер наверное все знают такую программу как. Помимо серверов Adguard есть еще много других на выбор, но из списка этот самый известный. Хотя предпочитаю Yandex.
- Можно воспользоваться DNSCrypt и настроит для подключения к Yandex DNS подробней на официальном сайте есть название и прочее для настройки программы DNSCrypt(Лично мое мнение я настроил Яндекс DNS). Параметры DNSYandex: yandex,"Yandex","Yandex public DNS server","Anycast","",https://www.yandex.com,1,no,no,no,77.88.8.78:15353,2.dnscrypt-cert.browser.yandex.net,D384:C071:C9F7:4662:AF2A:CCD5:7B5D:CC97:14D4:07B6:AD36:01E1:AEDC:06D5:6D49:6327 Взято из того файла с настройками программы(dnscrypt-resolvers.csv) Как видите настроить соединение с выбранным ранее DNS сервером и не только из файла а из выше упомянутых статей. Настроив данным методом ваше соединение вам не надо будет устанавливать программы против рекламы и слежки.
- В этом примере я расскажу о подключения ADGuard сервера DNS. Далее выбрали названия из списка в файле dnscrypt-resolvers.csv название сервера будет следующим: adguard-dns-family-ns1 и набираем команду в командной строке я подчеркнул ее на картинке ниже:
- Если сервер доступен то вы увидите следующее как на картинке выше в краном прямоугольнике. Устанавливаем DNSCrypt в систему следующей командой, подчеркнул на картинке ниже и нажимаем Enter:
- Если все пройдет удачно то ответ в командной строке будет как на картинке выше в прямоугольнике. Если вы захотите удалить DnSCrypt то команда будет такая же только в место последнего Install будет Uninstall. Далее все также если захотите сменить сервер проделываете тоже самое с установкой Install и так далее. Программу настроили и теперь надо чтобы соединение в компьютерном устройстве вашем подключалось через DNSCrypt. Идем в подключения вашего соединения и в свойствах соединения предпочитаемые DNS серверы набираете 127.0.0.1 это ваш адрес вашей машины. О смене адреса Dns сервера в подключении можно узнать из примеров статей о которых я писал выше. Как зайти в свойства подключения для изменения адреса Dns все можно узнать по ссылкам в верху статьи.
Для чего нужен DNS ?
Привожу список статей которые писал ранее о известных сервис DNS:
Шифрования DNS соединения:
В браузерах, а в этой статье речь пойдет об утечке DNS-трафика. Которая затрагивает всех, и даже тех кто использует VPN-сервисы и считает, что находится за каменной стеной.
Здравствуйте друзья! Сегодня я расскажу что такое утечка DNS, почему вы должны об этом знать и как от этого защититься используя бесплатную утилиту DNSCrypt.
- Предисловие
- Что значит утечка DNS
- Как проверить утечку DNS
- Как исправить утечку DNS используя DNSCrypt
- Скачивание DNSCrypt
- Установка DNSCrypt
- Использование DNSCrypt
- DNSCrypt в Yandex браузере
- DNSCrypt в роутере
- Заключение
- Оценка и отзывы
Что значит утечка DNS?
При использовании HTTPS или SSL ваш HTTP трафик зашифрован, то есть защищен (не идеально, но защищен). Когда вы используете VPN, весь ваш трафик полностью шифруется (разумеется уровень и качество защиты зависит от правильной настройки VPN, но обычно все настроено и работает правильно).
Но бывают ситуации в которых даже при использовании VPN, ваши DNS-запросы передаются в открытом незашифрованном виде. Это открывает злоумышленнику большие возможности для творчества. может перенаправить трафик, применить MITM-атаку (человек посередине) и сделать еще кучу других вещей, которые могут поставить под угрозу вашу безопасность и анонимность в сети.
Давайте попробуем разобраться в этом вопросе поглубже. Если вас не интересует теория, но волнует безопасность, можете сразу переходить к следующей главе. Если хотите знать побольше, усаживайтесь поудобнее, сейчас я вам вынесу мозг.
В нашем примере на рисунке ниже вы видите как пользователь (компьютер) пытается обратиться к сайту www.. Для того чтобы попасть на сайт он должен сначала разрешить символьное имя узла в IP-адрес.
Если же конфигурация сети такова, что используется DNS-сервер провайдера (незашифрованное соединение, отмечено красной линией), то разрешение символьного имени в IP-адрес происходит по незашифрованному соединению.
Что в этом страшного?
Во-первых, в такой ситуации провайдер может просмотреть историю DNS и узнать какие сайты вы посещали. Он конечно не узнает какие именно данные передавались, но адреса сайтов он сможет просмотреть запросто.
Во-вторых, есть большая вероятность оказаться жертвой хакерской атаки. Такой как: DNS cache snooping и DNS spoofing.
Что такое DNS снупинг и спуфинг?
Вкратце для тех кто не в курсе.
DNS снупинг
— с помощью этой атаки злоумышленник может удаленно узнавать какие домены были недавно отрезолвлены на DNS-сервере, то есть на какие домены недавно заходила жертва.
DNS спуфинг — атака, базируется на заражении кэша DNS-сервера жертвы ложной записью о соответствии DNS-имени хоста, которому жертва доверяет.
Так как запросы не шифруются, кто-то между вами и провайдером может перехватить и прочитать DNS-запрос, после чего отправить вам поддельный ответ..com или vk.com, вы перейдете на поддельный или как еще говорят хакера (поддельным будет не только вид страницы, но и урл в адресной строке), после чего вы введете свой логин и пароль, ну а потом сами понимаете что будет. Данные авторизации будут в руках злоумышленника.
Описанная ситуация называется утечка DNS (DNS leaking). Она происходит, когда ваша система для разрешения доменных имен даже после соединения с VPN-сервером или сетью Tor продолжает запрашивать DNS сервера вашего провайдера. Каждый раз когда вы попытаетесь зайти на сайт, соединится с новым сервером или запустить какое-нибудь сетевое приложение, ваша система будет обращаться к DNS серверам провайдера, чтобы разрешить имя в IP-адрес. В итоге какой-нибудь хакер или ваш провайдер смогут узнать все имена узлов, к которым вы обращаетесь.
Если вам есть что скрывать, тогда я вам предлагают использовать простое решение — DNSCrypt. Можно конечно прописать какие-нибудь другие DNS-сервера и пускать трафик через них. Например сервера Гугла 8.8.8.8 или того же OpenDNS 208.67.222.222, 208.67.220.220. В таком случае вы конечно скроете от провайдера историю посещения сайтов, но расскажите о своих сетевых путешествиях Гуглу. Кроме этого никакого шифрования DNS трафика не будет, а это большой недостаток. Не знаю как вас, но меня это не возбуждает, я лучше установлю DNSCrypt.
Как проверить утечку DNS
Перед тем как мы перейдем к самой утилите, я бы хотел познакомить вас со специальными онлайн-сервисами. Они позволяют проверить утечку DNS.
Для работы программы требуется Microsoft .NET Framework 2.0 и выше.
Скачать DNSCrypt для Mac OS X вы можете по ссылке с Гитаб или с файлообменка по ссылке выше.
Разработчик программы OpenDNS.
Установка DNSCrypt
В этой статье мы разберем работу с консольной версией утилиты. Настраивать ДНСКрипт будем на Windows 10. Установка на других версиях винды не отличается.
Итак, скачанный архив распаковываем и помещаем содержимое папки dnscrypt-proxy-win32 в любое место на компьютере. В моем примере я расположил в папке “C:\Program Files\DNSCrypt\”.
После чего откройте от имени администратора командною строку.
Запуск командной строки от имени администратора в Windows 10 Теперь в командной строке перейдите в папку DNSCrypt. Сделать это можно с помощью команды:
cd "C:\Program Files\DNSCrypt"
Кликаем , если не можете скопировать команды.
После этого подготовимся к установке службы прокси. Для начала необходимо выбрать провайдера DNS. В архив я положил файл dnscrypt-resolvers.csv. Этот файлик содержит список большинства DNS провайдеров, которые поддерживает DNSCrypt. Для каждого отдельного провайдера есть название, описание, расположение и поддержка DNSSEC и Namecoin. Кроме этого файл содержит необходимые IP-адреса и открытые ключи.
Выберите любого провайдера и скопируйте значение в первом столбце. В моем случае я буду использовать CloudNS, поэтому я скопировал “cloudns-can”. Теперь необходимо убедится, что прокси может подключиться. Сделать это можно с помощью этой команды:
dnscrypt-proxy.exe -R "cloudns-can" --test=0
Если у вас не получилось, попробуйте выбрать другого провайдера и повторить попытку еще раз.
Если все прошло успешно, продолжим установку и введем следующую команду:
dnscrypt-proxy.exe -R cloudns-can --install
Если все правильно работает, вы увидите следующие выходные данные:
Скрин того как это должно выглядеть в командой строке:
После чего необходимо зайти в параметры протокола TCP/IP Windows и изменить настройки DNS на 127.0.0.1.
Для удаления службы ДНСКрипт необходимо вернуть сетевые настройки DNS в начальное состояние. Делается это с помощью этой команды:
dnscrypt-proxy --uninstall
Данная команда также может использоваться для смены провайдера DNS. После применения нужно повторить установку с параметрами другого провайдера.
Если у вас после всей этой процедуры по какой-то причине во время проверки все еще определяться IP-адрес DNS вашего интернет-провайдера, кликните по кнопке «Дополнительно», которая находится под прописанным IP 127.0.0.1. В появившемся окне «Дополнительные параметры…», перейдите на вкладку «DNS» и удалите все адреса DNS-серверов кроме «127.0.0.1».
Все, теперь утечка DNS устранена.
Вас также может заинтересовать статья « », в которой рассказывалось об удалении записей DNS на компьютере.
DNSCrypt в Яндекс Браузере
С недавнего времени в браузере от Яндекс появилась поддержка ДНСКрипт. Ну что сказать, ребята из Яндекса работают и пытаются защитить пользователя — это здорово, но в отличие от утилиты DNSCrypt защита у Яндекса реализуется только на уровне браузера, а не уровне всей системы.
DNSCrypt в роутере
Также поддержка ДНСКрипт реализована в популярных прошивках OpenWrt. Подробнее об установке и другой дополнительной информации вы можете узнать на странице.
Заключение
Конечно же утилита ДНСКрипт и шифрование DNS в целом не является панацеей, да и вообще в информационной безопасности нет такого понятия как панацея. Мы только можем максимально улучшить нашу безопасность и анонимность, но сделать наше присутствие в сети неуязвимым на все 100% к сожалению не получится. Технологии не стоят на месте и всегда найдутся лазейки. Поэтому я предлагаю вам подписаться на наши новости в социальных сетях, чтобы всегда быть в курсе. Это бесплатно.
На этом все друзья. Надеюсь эта статья помогла вам решить проблему утечки DNS. Удачи вам в новом 2017 году, будьте счастливы!
Оценка утилиты DNSCrypt
Наша оценка
DNSCrypt - бесплатная утилита для защиты DNS-трафика Путем шифрования DNS-трафика и использования серверов DNS. Наша оценка - очень хорошо!
Оценка пользователей: 4.25 (36 оценок)
DNSCrypt - это спецификация, реализованная в программном обеспечении unbound, dnsdist, dnscrypt-wrapper и dnscrypt-proxy.
2. Сохраните копию исходного файла конфигурации example-dnscrypt-proxy.toml и настройте согласно вашим требованиям как .
Наш пример настройки файла . Список общедоступных DNS-резольверов доступен по этой ссылке .
3. Убедитесь, что другие приложения и сервисы не прослушивают 53 порт в вашей системе и запустите приложение dnscrypt-proxy в командной строке Windows в режиме администратора устройства. Измените ваши настройки DNS для настроенного IP-адреса.
В нашем случае необходимо настроить DNS на 127.0.0.1 (указанное значение для параметра listen_addresses в конфигурационном файле) в параметрах протокола TCP/IP. Как это сделать для Windows рассказывается в статье настройка DNS на компьютере с ОС Windows . Приведем скриншот настройки для нашего случая:
4. Установите системную службу.
Установка системной службы dnscrypt-proxy (Windows, Linux, MacOS)
В командной строке, запущенной с правами администратора, введите следующую команду dnscrypt-proxy -service install для регистрации dnscrypt-proxy в качестве системной службы, а затем введите команду dnscrypt-proxy -service start для запуска службы.
В Windows данный шаг не требуется. Просто дважды щелкните по файлу server-install.bat для установки службы.
Служба будет автоматически запускаться при каждой перезагрузке.
Процедура установки совместима с операционными системами Windows, Linux (systemd, Upstart, SysV) и macOS (launchd).
Другие полезные команды: stop , restart (полезна при изменении конфигурации) и uninstall .
Установка dnscrypt-proxy в Ubuntu 18.04, 17.10
sudo add-apt-repository ppa:shevchuk/dnscrypt-proxysudo apt update
sudo apt install dnscrypt-proxy
sudo nano /etc/dnscrypt-proxy/dnscrypt-proxy.toml
Раскомментируем (убираем значок #) строку server_names (и заменяем имена серверов на нужные нам). Для сохранения изменений нажимаем CTRL+O соглашаемся на изменения и затем CTRL+X для закрытия. Либо от имени Администратора в текстовом редакторе правим файл dnscrypt-proxy.toml расположенный в /etc/dnscrypt-proxy/.
В настройках сети - IPV4 - DNS - отключаем Автоматический и ставим 127.0.0.1
Sudo sed -i "s/127.0.2.1/127.0.0.1/g" /lib/systemd/system/dnscrypt-proxy.socket
sudo systemctl daemon-reload
sudo systemctl stop dnscrypt-proxy.socket
sudo systemctl enable dnscrypt-proxy
sudo systemctl start dnscrypt-proxy
Перезагружаем систему.
Установка системной службы dnscrypt-proxy (Arch Linux)
В AUR репозитории Arch linux поддерживается 2 версия пакета.
1. Выполните установку:
Yaourt -S dnscrypt-proxy-go
2. Активируйте и запустите службу:
Systemctl enable dnscrypt-proxy.service
systemctl start dnscrypt-proxy.service
3. Проверьте, был ли успешен запуск службы:
Systemctl status dnscrypt-proxy.service
4. Посмотрите содержимое журнала:
Dnscrypt-proxy is ready - live servers:
Теперь dnscrypt-proxy будет прослушивать 127.0.0.1:53
Запуск в Linux без root
Следующая команда добавляет необходимые атрибуты для файла dnscrypt-proxy, делая возможным его запуск без root прав:
Sudo setcap cap_net_bind_service=+pe dnscrypt-proxy
Проверка работы
Проверьте, что все работает корректно. DNS-запрос для resolver.dnscrypt.info должен возвращать один из выбранных DNS-серверов вместо серверов вашего провайдера
Вы можете проверить информацию о DNS с помощью сервиса DNSLeak.com . Данные сайты возвращают информацию о вашем IP-адресе и владельце используемого DNS сервера. Если в результатах отображается сервис вашего Интернет-провайдера, то происходит утечка DNS.
Simple DNSCrypt для Windows
Для Windows также можно использовать - инструмент для настройки шифрования DNSCrypt на компьютерах Windows с помощью простого в использовании интерфейса.
Нашли опечатку? Выделите и нажмите Ctrl + Enter
